안녕하세요 향기입니다~*
사내에 Domain Controller가 여러 대 있을 경우, Domain Controller를 제거하려고 하면,
서버가 정상적인 경우에는 Dcpromo로 정상적으로 삭제가 가능하지만, 현실에서는 하드웨어 장애로 강제로 DC가
죽는 경우가 발생합니다. 이럴 경우 DC의 Metadta(찌꺼기)가 남게 되는데, 이 경우 Client 및 멤버 서버들은
죽은 DC를 찾게 됩니다. 이 상황에서 조치방법은 Metadata Clenup을 사용해야 합니다.
Metadata Cleanup을 사용해야 하는 경우
1. Active Directory 환경에서 DC를 삭제하고자 할 경우
2. DC 수준 내리기 실패 후 AD에서 데이터를 제거하는 경우
준비
1. ADSIEdit.msc 설치
* DC가 Windows Server 2000 경우
-> Windows Server 2000 CD에서 Support/Tools 에 Setup 설치
* DC가 Windows Server 2003 경우
-> Windows Server 2003 CD에서 Support/Tools 에 Suptools.msi 설치
2. 문제가 있는 DC가 아닌 정상적인 DC가 Global Catalog 역할을 해야 합니다.
3. FSMO Role 소유 DC확인
AD 사용자 및 컴퓨터 – 마우스 우 Click – 작업 마스터
AD 도메인 및 트러스트 – 마우스 우 Click – 작업 마스터
AD 스키마 – 마우스 우 Click – 작업 마스터
AD Schema 는 기본적으로 보이지 않게 되어있습니다.(그만큼 중요하기 때문에 MS에서 막아 둔 걸 겁니다..ㅎㅎ)
Schema 항목을 확인하시려면 http://neowizard.tistory.com/entry/DC-Active-Directory-Schema-보기-및-편집 게시물을 확인하세요.
netdom 으로도 확인 가능합니다.
netdom query fsmo
Schema owner
Domain role owner
PDC role
RID pool manager
Infrastructure owner
위 5가지 모든 사항이 제거대상이 아닌 DC여야만 합니다.
Metadata Cleanup을 사용하여 DC를 삭제하는 방법
1. 제거 대상이 아닌 DC에 관리자 계정으로 Login
2. 시작 – 실행 - CMD
3. CMD(명령 프롬프트)에서 ntdsutil 을 입력
3. Metadata Cleanup 을 입력
4. Connections 입력
5. Connect to server servername 을 입력
Ex) connect to server adserver"
6. quit 입력
7. Metadata Cleanup 메뉴 나타납니다.
8. Select operation target 입력
9. List domains 입력 ( 포리스트 도메인 목록 표시 )
10. select domain number 를 입력 (여기서는 9번에 나온 제거할 DC를 선택)
11. list siters ( 사이트 목록 표시 )
12. select site number 입력 ( 여기서는 11번에 나온 제거할 DC 선택 )
13. list servers in site 입력
14. select server number ( 여기서 number는 제거할 DC 번호 )
15. quit 입력
16. remove selected server 입력 (제거 완료 메세지 출력 )
-> 다른 관리자가 NTDS 설정 개체를 제거하였거나 DCPROMO Utility 실행 후 개체의 성공적인 제거를 복제하였기
때문에 Active Directory에서 NTDS 설정 개체가 이미 제거된 것일 수도 있습니다.
17. 각 메뉴에 quit를 입력 Ntdsutil 종료
18. DNS의 _msdcs.root domain of forest 영역에 있는 Cname Record를 제거 합니다.
DC를 재설치 하고 수준을 다시 올리면 DNS의 새로운 GUID와 해당 Cname Record를 사용하여 새 NTDS 설정
개체가 만들어 집니다. 존재하는 DC가 이전 Cname Record를 사용하지 않게 할 수 있습니다.
-> NTDS 설정 개체가 삭제되었으므로 컴퓨터 계정, FRS 구성원 개체, _msdcs 컨테이너의 Cname Record, DNS의 A Record
삭제된 자식 도메인의 TrustDomain 개체 및 도메인 컨트롤러를 삭제할 수 있습니다.
ADSIEdit를 사용하여 DC와 관련된 개체를 삭제하는 방법
1. ADSIEdit를 사용하여 컴퓨터 계정 삭제
2. ADSIEdit를 사용하여 FSR 구성원 개체 삭제
3. DNS Console에서 DNS A Record삭제
4. AD사이트 및서비스를 사용하여 해당도메인 컨트롤러를 제거합니다.